Dévoiler l'industrialisation des attaques de phishing dans le monde du chiffrement
Depuis juin 2024, l'équipe de sécurité a surveillé un grand nombre de transactions de phishing et de vol de fonds similaires. Rien qu'au mois de juin, le montant en jeu a dépassé 55 millions de dollars. À partir des mois d'août et septembre, les activités de phishing connexes sont devenues plus fréquentes, prenant de l'ampleur. Au troisième trimestre de 2024, les attaques de phishing sont devenues le moyen d'attaque causant les plus grandes pertes économiques, les attaquants ayant obtenu plus de 243 millions de dollars lors de 65 actions.
L'analyse indique que les attaques de phishing récentes sont très probablement liées à l'équipe d'outils de phishing infâme, Inferno Drainer. Cette équipe avait annoncé en grande pompe sa "retraite" à la fin de 2023, mais semble maintenant de nouveau active et a planifié une série d'attaques à grande échelle.
Cet article analysera en profondeur les méthodes typiques utilisées par des groupes de phishing tels qu'Inferno Drainer, et énumérera en détail leurs caractéristiques comportementales, dans le but d'aider les utilisateurs à améliorer leur capacité à identifier et à prévenir les escroqueries par phishing.
L'émergence de la fraude en tant que service (Scam-as-a-Service)
Dans le domaine des cryptomonnaies, un nouveau modèle malveillant a vu le jour - le Scam-as-a-Service. Ce modèle regroupe des outils et des services de fraude, les proposant de manière commercialisée à d'autres criminels. Inferno Drainer est l'équipe représentative de ce domaine. Entre novembre 2022 et novembre 2023, durant leur première annonce de fermeture de service, le montant total des fraudes a dépassé 80 millions de dollars.
Inferno Drainer aide les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing prêts à l'emploi, y compris des sites de phishing front-end et back-end, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent le service peuvent conserver la majeure partie du butin, tandis qu'Inferno Drainer prélève une commission de 10 % à 20 %. Ce modèle a considérablement abaissé le seuil technique de la fraude, rendant la cybercriminalité plus efficace et à grande échelle, conduisant à une prolifération des attaques de phishing dans l'industrie du chiffrement, en particulier ceux qui manquent de sensibilisation à la sécurité sont plus susceptibles de devenir des cibles.
Mécanisme de fonctionnement de la fraude en tant que service
Avant de comprendre le phishing en tant que service, examinons d'abord le flux de travail typique d'une application décentralisée (DApp). Une DApp typique se compose généralement d'une interface frontale (comme une page Web ou une application mobile) et d'un contrat intelligent sur la blockchain. Les utilisateurs se connectent à l'interface frontale de la DApp via un portefeuille blockchain, la page frontale génère la transaction blockchain correspondante et l'envoie au portefeuille de l'utilisateur. L'utilisateur signe ensuite la transaction avec son portefeuille blockchain pour l'approuver, une fois la signature terminée, la transaction est envoyée au réseau blockchain et appelle le contrat intelligent correspondant pour exécuter les fonctions requises.
Les attaquants de phishing attirent habilement les utilisateurs à effectuer des opérations non sécurisées en concevant des interfaces frontales et des contrats intelligents malveillants. Les attaquants guident généralement les utilisateurs à cliquer sur des liens ou des boutons malveillants, les trompant ainsi pour qu'ils approuvent des transactions malveillantes cachées, et dans certains cas, en les incitant directement à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur vers son propre compte.
Les méthodes de phishing courantes incluent :
Faux front-end de projets célèbres : Les attaquants imitent soigneusement le site officiel de projets connus, créant une interface frontale apparemment légitime, amenant les utilisateurs à croire qu'ils interagissent avec un projet de confiance.
Arnaques à l'airdrop de jetons : promouvoir massivement sur les réseaux sociaux des opportunités très attirantes telles que "airdrop gratuit", "prévente anticipée", "minting gratuit d'NFT", incitant les victimes à cliquer sur le lien.
Événements de piratage frauduleux et escroqueries aux récompenses : prétendant qu'un projet connu a subi une attaque de hacker ou un gel d'actifs, et qu'il distribue des compensations ou des récompenses aux utilisateurs.
Mécanisme de partage des butins d'Inferno Drainer
Le 21 mai 2024, Inferno Drainer a publié un message de vérification de signature sur etherscan, annonçant son retour et créant un nouveau canal Discord.
Après analyse des transactions liées à Inferno Drainer, nous avons découvert que son mécanisme de partage des gains est le suivant :
Inferno Drainer crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum utilisée pour créer des contrats intelligents. Inferno Drainer exploite les caractéristiques de l'instruction CREATE2 pour calculer à l'avance l'adresse du contrat de partage des gains pour les acheteurs de services de phishing, puis crée le contrat de partage des gains une fois que la victime a mordu à l'hameçon.
Appeler le contrat créé, approuver les jetons de la victime au compte de phishing (acheteur du service Inferno Drainer) et au compte de partage des gains. L'attaquant utilise diverses méthodes de phishing pour amener la victime à signer involontairement un message Permit2 malveillant.
Transférer les jetons dans les proportions correspondantes à l'adresse de partage et à l'acheteur, pour compléter le partage.
Il est à noter qu'Inferno Drainer peut, dans une certaine mesure, contourner certaines fonctionnalités anti-phishing des portefeuilles en créant un contrat avant de partager les gains, ce qui réduit davantage la vigilance des victimes. Dans une transaction que nous avons observée, l'acheteur des services de phishing a emporté 82,5 % des fonds volés, tandis qu'Inferno Drainer a conservé 17,5 %.
Étapes simples pour créer un site de phishing
Avec l'aide de la fraude en tant que service, il est devenu exceptionnellement simple pour les attaquants de créer un site de phishing :
Rejoignez le canal Telegram fourni par Drainer et utilisez une commande simple pour créer un nom de domaine gratuit et l'adresse IP correspondante.
Choisissez un modèle parmi des centaines, entrez dans le processus d'installation, et après quelques minutes, vous pouvez générer un site de phishing qui semble professionnel.
Rechercher des victimes potentielles. Une fois qu'une personne accède à ce site et connecte son portefeuille pour approuver une transaction malveillante, les actifs de la victime seront transférés.
Le processus ne prend que quelques minutes, ce qui réduit considérablement le seuil d'entrée pour réaliser des attaques de phishing.
Conseils de sécurité
Face à la prolifération croissante des attaques de phishing, les utilisateurs doivent rester très vigilants lorsqu'ils participent à des transactions de chiffrement :
Méfiez-vous des promotions du type "un gâteau qui tombe du ciel", telles que des airdrops ou des compensations suspects et gratuits.
Vérifiez attentivement l'URL du site web et méfiez-vous des noms de domaine imitant des projets connus. Vous pouvez utiliser des outils de recherche de domaine WHOIS pour vérifier la date d'enregistrement du site.
Protégez strictement vos informations personnelles, ne fournissez jamais votre phrase de secours ou votre clé privée à des sites suspects.
Avant d'approuver toute transaction, vérifiez attentivement s'il existe des opérations Permit ou Approve susceptibles de causer des pertes de fonds.
Faites attention aux alertes de sécurité, si vous constatez une autorisation incorrecte, retirez ou transférez rapidement les actifs restants.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
7
Partager
Commentaire
0/400
LightningLady
· Il y a 8h
Ça... est-ce que ces gens peuvent laisser les pigeons passer une année tranquille ?
Voir l'originalRépondre0
BlockchainArchaeologist
· Il y a 10h
La retraite, c'est du mensonge.
Voir l'originalRépondre0
RektCoaster
· 07-22 11:03
Ces escrocs ont évolué !
Voir l'originalRépondre0
RugPullSurvivor
· 07-22 11:03
Ces escrocs sont de retour !
Voir l'originalRépondre0
ShibaMillionairen't
· 07-22 11:00
Ahaha, j'aimerais vraiment me retrouver autour d'une table avec ce groupe de retraités pour jouer au Mahjong.
Voir l'originalRépondre0
ImpermanentPhilosopher
· 07-22 10:53
pigeons d'assurance, qui gagne qui est malchanceux~
Voir l'originalRépondre0
SybilSlayer
· 07-22 10:47
Ah, cette bande de fantômes sait vraiment faire les morts.
Inferno Drainer est de nouveau actif, révélant une chaîne de production d'attaques de phishing de 243 millions de dollars.
Dévoiler l'industrialisation des attaques de phishing dans le monde du chiffrement
Depuis juin 2024, l'équipe de sécurité a surveillé un grand nombre de transactions de phishing et de vol de fonds similaires. Rien qu'au mois de juin, le montant en jeu a dépassé 55 millions de dollars. À partir des mois d'août et septembre, les activités de phishing connexes sont devenues plus fréquentes, prenant de l'ampleur. Au troisième trimestre de 2024, les attaques de phishing sont devenues le moyen d'attaque causant les plus grandes pertes économiques, les attaquants ayant obtenu plus de 243 millions de dollars lors de 65 actions.
L'analyse indique que les attaques de phishing récentes sont très probablement liées à l'équipe d'outils de phishing infâme, Inferno Drainer. Cette équipe avait annoncé en grande pompe sa "retraite" à la fin de 2023, mais semble maintenant de nouveau active et a planifié une série d'attaques à grande échelle.
Cet article analysera en profondeur les méthodes typiques utilisées par des groupes de phishing tels qu'Inferno Drainer, et énumérera en détail leurs caractéristiques comportementales, dans le but d'aider les utilisateurs à améliorer leur capacité à identifier et à prévenir les escroqueries par phishing.
L'émergence de la fraude en tant que service (Scam-as-a-Service)
Dans le domaine des cryptomonnaies, un nouveau modèle malveillant a vu le jour - le Scam-as-a-Service. Ce modèle regroupe des outils et des services de fraude, les proposant de manière commercialisée à d'autres criminels. Inferno Drainer est l'équipe représentative de ce domaine. Entre novembre 2022 et novembre 2023, durant leur première annonce de fermeture de service, le montant total des fraudes a dépassé 80 millions de dollars.
Inferno Drainer aide les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing prêts à l'emploi, y compris des sites de phishing front-end et back-end, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent le service peuvent conserver la majeure partie du butin, tandis qu'Inferno Drainer prélève une commission de 10 % à 20 %. Ce modèle a considérablement abaissé le seuil technique de la fraude, rendant la cybercriminalité plus efficace et à grande échelle, conduisant à une prolifération des attaques de phishing dans l'industrie du chiffrement, en particulier ceux qui manquent de sensibilisation à la sécurité sont plus susceptibles de devenir des cibles.
Mécanisme de fonctionnement de la fraude en tant que service
Avant de comprendre le phishing en tant que service, examinons d'abord le flux de travail typique d'une application décentralisée (DApp). Une DApp typique se compose généralement d'une interface frontale (comme une page Web ou une application mobile) et d'un contrat intelligent sur la blockchain. Les utilisateurs se connectent à l'interface frontale de la DApp via un portefeuille blockchain, la page frontale génère la transaction blockchain correspondante et l'envoie au portefeuille de l'utilisateur. L'utilisateur signe ensuite la transaction avec son portefeuille blockchain pour l'approuver, une fois la signature terminée, la transaction est envoyée au réseau blockchain et appelle le contrat intelligent correspondant pour exécuter les fonctions requises.
Les attaquants de phishing attirent habilement les utilisateurs à effectuer des opérations non sécurisées en concevant des interfaces frontales et des contrats intelligents malveillants. Les attaquants guident généralement les utilisateurs à cliquer sur des liens ou des boutons malveillants, les trompant ainsi pour qu'ils approuvent des transactions malveillantes cachées, et dans certains cas, en les incitant directement à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur vers son propre compte.
Les méthodes de phishing courantes incluent :
Faux front-end de projets célèbres : Les attaquants imitent soigneusement le site officiel de projets connus, créant une interface frontale apparemment légitime, amenant les utilisateurs à croire qu'ils interagissent avec un projet de confiance.
Arnaques à l'airdrop de jetons : promouvoir massivement sur les réseaux sociaux des opportunités très attirantes telles que "airdrop gratuit", "prévente anticipée", "minting gratuit d'NFT", incitant les victimes à cliquer sur le lien.
Événements de piratage frauduleux et escroqueries aux récompenses : prétendant qu'un projet connu a subi une attaque de hacker ou un gel d'actifs, et qu'il distribue des compensations ou des récompenses aux utilisateurs.
Mécanisme de partage des butins d'Inferno Drainer
Le 21 mai 2024, Inferno Drainer a publié un message de vérification de signature sur etherscan, annonçant son retour et créant un nouveau canal Discord.
Après analyse des transactions liées à Inferno Drainer, nous avons découvert que son mécanisme de partage des gains est le suivant :
Inferno Drainer crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum utilisée pour créer des contrats intelligents. Inferno Drainer exploite les caractéristiques de l'instruction CREATE2 pour calculer à l'avance l'adresse du contrat de partage des gains pour les acheteurs de services de phishing, puis crée le contrat de partage des gains une fois que la victime a mordu à l'hameçon.
Appeler le contrat créé, approuver les jetons de la victime au compte de phishing (acheteur du service Inferno Drainer) et au compte de partage des gains. L'attaquant utilise diverses méthodes de phishing pour amener la victime à signer involontairement un message Permit2 malveillant.
Transférer les jetons dans les proportions correspondantes à l'adresse de partage et à l'acheteur, pour compléter le partage.
Il est à noter qu'Inferno Drainer peut, dans une certaine mesure, contourner certaines fonctionnalités anti-phishing des portefeuilles en créant un contrat avant de partager les gains, ce qui réduit davantage la vigilance des victimes. Dans une transaction que nous avons observée, l'acheteur des services de phishing a emporté 82,5 % des fonds volés, tandis qu'Inferno Drainer a conservé 17,5 %.
Étapes simples pour créer un site de phishing
Avec l'aide de la fraude en tant que service, il est devenu exceptionnellement simple pour les attaquants de créer un site de phishing :
Rejoignez le canal Telegram fourni par Drainer et utilisez une commande simple pour créer un nom de domaine gratuit et l'adresse IP correspondante.
Choisissez un modèle parmi des centaines, entrez dans le processus d'installation, et après quelques minutes, vous pouvez générer un site de phishing qui semble professionnel.
Rechercher des victimes potentielles. Une fois qu'une personne accède à ce site et connecte son portefeuille pour approuver une transaction malveillante, les actifs de la victime seront transférés.
Le processus ne prend que quelques minutes, ce qui réduit considérablement le seuil d'entrée pour réaliser des attaques de phishing.
Conseils de sécurité
Face à la prolifération croissante des attaques de phishing, les utilisateurs doivent rester très vigilants lorsqu'ils participent à des transactions de chiffrement :